有零刻 Beelink 的人吗?你们GTR7 7840HS
的 BIOS 将仅用于测试DO NOT TRUST - AMI TEST PK
设置为了平台密钥。根据 UEFI 规范,OEM 需要负责维护唯一的平台密钥(Platform Key),它可以是公司唯一、产品线唯一或产品唯一。
https://learn.microsoft.com/zh-cn/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11
使用测试密钥破坏了安全启动的信任机制,这会导致安全启动无法在受影响的系统上正常运行,并且有物理访问能力的攻击者能够使用不在受信任启动列表中的软件来启动系统。
联想也曾出现过这个问题,并将这个其列为高危漏洞
https://support.lenovo.com/us/en/solutions/ps500067-certain-bios-versions-may-include-an-ami-test-key-that-could-compromise-secure-boot-protections
同时,GTR7 7840HS BIOS
的 密钥交换密钥 (KEK) 和 签名数据库( DB 、DBX )也不完整。
KEK 只包含了Microsoft Corporation KEK CA 2011
,
缺失了Microsoft Corporation KEK 2K CA 2023
DB 只包含了Microsoft Windows Production PCA 2011
,
缺失了Microsoft Corporation UEFI CA 2011
、Windows UEFI CA 2023
、Microsoft UEFI CA 2023
缺失的Microsoft Corporation UEFI CA 2011
、Microsoft UEFI CA 2023
也导致了经过微软 UEFI 签名的 Linux 系统( Ubuntu 、CentOS 、RHEL 、Fedora )无法通过校验。
但由于第一个漏洞,无法通过校验的系统也能引导,Secure Boot 功能形同虚设。
再提一嘴,你们服务质量有待提升啊。发你们官网邮箱没人回复,淘宝技术只会让我自签一个证书,淘宝客服只会让我退货。。。
1
yyzh 2023-07-12 16:09:59 +08:00 via Android 1
用英文去他们论坛发一下? http://forum.bee-link.com/
|
2
rimworld 2023-07-12 16:37:25 +08:00 via iPhone 1
所以还是得大厂产品,至少得大厂主板,bios ,经过长时间经验的累积。
|
4
sky96111 OP @rimworld 退款点过一次,后来取消了。产品有缺陷而且商家承诺 30 天无理由,要是官方不作为再退货也不迟。
最大的问题是 mini 主机这个领域有 ddr5 支持的厂太少了,nuc 本是首选,可惜没有 ddr5 ,而且前几天还宣布停止研发了。 |
5
ltkun 2023-07-12 17:06:35 +08:00 via Android
还有这种漏洞
|
6
Fatenana 2023-07-12 17:11:57 +08:00
去年还是前年看很便宜还想买这牌子,结果一看官网,驱动全部要去百度网盘下,直接打消念头买 dell 的 mini 机了。
一个这种细节都做的这么粗糙的厂家,不用期待/幻想它其他方面能认真对待 |